SSL MITM с помощью mitmdump/mitmproxy

Burp классная штука, но есть у него один косяк.

Следи за паролями

Это удобно, когда на телефоне отображается твой баланс, оставшийся объем трафика, количество бесплатных минут и смс, курсы валют, твой банковский счет и многое другое. 

Все это умеет отличная программа AnyBalance (Android), ну или ей подобные. Программа отправляет запросы с заданным интервалом на сервера Мегафона, МТС, Сбербанка (всего более 800 различных провайдеров) через вызовы сетевого API, а иногда и просто парсит вебстраничку личного кабинета, выдирая из нее нужные поля, которые затем отображаются на экране телефона в виде виджетов.

Мне было интересно посмотреть, как работают эти вызовы, и вот что я нашел.

То, о чём все знают..

Безопасность интернета основана на https. Надежную защиту каналов связи, на которую опирается вся коммерция, почта, социальные сети и т.д., удалось построить благодаря инфраструктуре открытых ключей (PKI). На каждом клиентском девайсе существует жестко зашитый перечень удостоверяющих центров, сертификатам которых наше устройство верит и разрешает подписывать защищенные вебсайты. Если вдруг кто-то захочет перехватить ваш трафик и устроить MITM атаку - браузер тут же вас предупредит.